Toukokuussa 2017 New York State Department of Financial Services (NYDFS) julkaisi 23 NYCRR Part 500, uuden kyberturvallisuussäännön. Tämä asetus on nyt täysimääräisesti voimassa, mutta mitä se tarkalleen ottaen on, ei ehkä ole selvää.

Ilmoituksensa jälkeen tähän vaatimuksiin on tehty muutamia muutoksia, ja sen oikeudellinen kieli voi olla epäselvä. Mikä on NYDFS: n kyberturvallisuusasetus ja miten se vaikuttaa sinuun? Katsotaanpa tarkemmin.

Mikä on NYDFS: n kyberturvallisuusasetus?

NYDFS: n kyberturvallisuusasetus listaa rahoituspalvelujen turvallisuusvaatimukset New Yorkissa. Kuten Euroopan yleisen tietosuoja-asetuksen (GDPR), näiden sääntöjen tarkoituksena on suojella kansalaisten tietoja holdingyhtiöillä tietyn standardin mukaisesti. Tässä tapauksessa nämä standardit tulevat enimmäkseen NIST Cybersecurity Framework.

Näiden säännösten mukaan New Yorkin rahoitusyhtiöiden on:

  • Tarkista säännöllisesti heidän IT-järjestelmiensä turvallisuus ja tietosuoja.
  • Kirjaa kyberturvallisuustapahtumat ja säilytä nämä tiedot viisi vuotta.
    • instagram viewer
  • Heillä on käytännöt ja menettelyt henkilötietojen poistamiseksi turvallisesti, joita he eivät enää tarvitse.
  • Rajoita pääsyä henkilökohtaisiin tunnistetietoihin (PII) ja tarkista nämä oikeudet säännöllisesti.
  • Tee yksityiskohtainen kirjallinen suunnitelma kyberturvallisuushäiriöiden löytämisestä, niihin vastaamisesta ja niistä toipumisesta.
  • Ilmoita NYDFS: lle 72 tunnin sisällä kyberturvallisuustapahtumasta.

Toisin kuin eräät vastaavat lait, NYDFS: n kyberturvallisuusasetus sisältää yksityiskohtaiset ohjeet siitä, mitä näiden turvallisuus- ja raportointisuunnitelmien tulisi sisältää. Se myös edellyttää, että yritykset varmistavat kolmansien osapuolten turvallisuuden, ei vain niiden sisäistä toimintaa.

Nämä vaatimukset tekevät tästä määräyksestä yhden laajimmista ja tiukimmista kaikista valtioista. Niitä rikkovat yritykset voivat saada valtavia sakkoja, mutta seuraamusten koko laajuus on vielä epäselvä.

Keitä NYDFS: n kyberturvallisuusasetus koskee?

NYDFS: n kyberturvallisuusasetus koskee mitä tahansa henkilöä tai yhteisöä joka vaatii NYDFS: n lisenssin. Se kattaa rahoitus- ja vakuutusyhtiöt New Yorkissa, mukaan lukien:

  • Pankit.
  • Luottoyhtiöt.
  • Sijoitusyhtiöt.
  • Lisensoidut lainanantajat.
  • Asuntolainan välittäjät.
  • Vakuutusyhtiöt.
  • Säästö- ja lainayhdistykset.

Näitä suojattuja yksiköitä ovat paikalliset yritykset ja ulkomaiset yritykset, joilla on lupa työskennellä New Yorkissa. Esimerkiksi vaikka Deutsche Bank on saksalainen yritys, sen on täytettävä 23 NYCRR Part 500, koska se toimii New Yorkissa.

Tässä luettelossa on muutamia poikkeuksia. Yritykset, joissa on alle 10 työntekijää, alle 5 miljoonan dollarin vuotuinen liikevaihto New Yorkista viimeisen kolmen vuoden aikana tai alle 10 miljoonaa dollaria vuoden lopussa, on vapautettu verosta. Samoin yritykset, jotka eivät tallenna tai käsittele yksityisiä tietoja, mutta se on epätodennäköistä rahoituspalveluyritykselle.

Mitä kyberturvallisuusasetus merkitsee sinulle?

Jos asut tai pankkisi New Yorkin osavaltiossa, laitoksesi kuuluu todennäköisesti näiden säännösten piiriin. Vaikka et tekisi, NYDFS: n kyberturvallisuusasetus saattaa silti koskea pankkiasi. Jos sillä on osavaltiossa toimiva sivuliike ja se täyttää taloudelliset vaatimukset, sen on noudatettava niitä.

Pankin asiakkaana sinun ei tarvitse tehdä mitään näiden vaatimusten mukaisesti. Saatat kuitenkin nähdä muutoksia rahoituslaitoksesi tai vakuutuksenantajasi toiminnassa. Saatat joutua käyttämään muita suojausvaiheita, kuten monitekijätodennusta (MFA) tai säätämään käyttöoikeuksiasi näiden yritysten tavoin parantamaan kyberturvallisuustoimiaan.

NIST Cybersecurity Framework, joka inspiroi nämä säännöt, sisältää ajankohtaisen tiedon jakamisen, joka voi vaikuttaa sinuun. Jos pankissasi tai vakuutusyhtiössäsi on tapaus, heidän on ehkä ilmoitettava sinulle. Sinun ei todennäköisesti tarvitse tehdä mitään vastauksena, mutta voit odottaa saavasi tämäntyyppisiä viestejä.

Vaikka sinulla ei olisi 23 NYCRR Part 500:n mukaisia ​​lakisääteisiä velvoitteita, on parasta olla varovainen taloudellisten tietojen kanssa. Käytä aina ainutlaatuisia, vahvoja salasanoja, ota MFA käyttöön, kun mahdollista, äläkä koskaan anna henkilökohtaisia ​​tunnistetietoja tuntemattomaan lähteeseen. Näiden säännösten tiukuus korostaa näiden asioiden tärkeyttä, joten ole varovainen.

Hallitukset ottavat kyberturvallisuuden vakavammin

NYDFS: n kyberturvallisuusasetus on yksi monista viimeaikaisista esimerkeistä paikallishallinnosta, joka on antanut kyberturvallisuuslakeja. Digitaalisten työkalujen yleistyessä jokapäiväisessä elämässä nämä säännöt vain kasvavat.

Sekä kuluttajien että yritysten tulee pysyä ajan tasalla näistä säännöistä varmistaakseen, että ne ovat vaatimusten mukaisia. Nämä muutokset saattavat aluksi vaikuttaa monimutkaiselta, mutta ne ovat välttämätön askel kohti parempaa turvallisuutta.

Kuinka hallitus vakoilee sinua kerätyillä tiedoilla

Sosiaalisen median tilisi ja älypuhelimesi keräävät sinusta tietoja, joita viranomaiset voivat käyttää. Näin ja miksi.

Lue Seuraava

JaaTweetSähköposti
Liittyvät aiheet
  • Turvallisuus
  • Kyberturvallisuus
  • Tietosuoja verkossa
  • Tietoturva
Kirjailijasta
Shannon Flynn (34 artikkelia julkaistu)

Shannon on sisällöntuottaja, joka sijaitsee Phillyssä, PA. Hän on kirjoittanut tekniikan alalla noin 5 vuotta valmistuttuaan IT-tutkinnon. Shannon on ReHack Magazinen toimituspäällikkö ja käsittelee aiheita, kuten kyberturvallisuutta, pelaamista ja liiketoimintateknologiaa.

Lisää Shannon Flynniltä

tilaa uutiskirjeemme

Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja eksklusiivisia tarjouksia!

Klikkaa tästä tilataksesi